Interrogation de journaux de base dans Azure Monitor
Les tables de journaux de base réduisent le coût d’ingestion des journaux détaillés de gros volumes et vous permettent d’interroger les données qu’ils stockent à l’aide d’un ensemble limité de requêtes de journal. Cet article explique comment interroger des données à partir de tables de journaux de base.
Pour plus d’informations, consultez Définir le plan de données de journal d’une table.
Notes
Les autres outils qui utilisent l’API Azure pour l’interrogation (par exemple Grafana et Power BI) ne peuvent pas accéder aux journaux de base.
Autorisations requises
Vous devez disposer d’autorisations Microsoft.OperationalInsights/workspaces/query/*/read dans les espaces de travail Log Analytics que vous interrogez, comme fourni par le rôle intégré de Lecteur Log Analytics, par exemple.
Limites
Les requêtes effectuées sur les journaux de base sont soumises aux limitations suivantes :
Limites du langage KQL
Les requêtes de journal effectuées sur les journaux de base sont optimisées pour la simplicité d’extraction des données à l’aide d’un sous-ensemble du langage KQL, notamment les opérateurs suivants :
Vous pouvez utiliser toutes les fonctions et tous les opérateurs binaires parmi ces opérateurs.
Plage temporelle
Spécifiez l’intervalle de temps dans l’en-tête de requête dans Log Analytics ou dans l’appel d’API. Il n’est pas possible de spécifier l’intervalle de temps dans le corps de la requête à l’aide d’une instruction where.
Contexte de requête
Les requêtes effectuées sur les journaux de base doivent avoir pour étendue un espace de travail. Vous ne pouvez pas exécuter de requêtes en utilisant une autre ressource comme étendue. Pour plus d’informations, consultez Étendue de requête de journal et intervalle de temps dans la fonctionnalité Log Analytics d’Azure Monitor.
Requêtes simultanées
Vous pouvez exécuter deux requêtes simultanées par utilisateur.
Purge
Il n’est pas possible de vider les données personnelles des tables de journaux de base.
Exécuter une requête sur une table de journaux de base
La création d’une requête à l’aide des journaux de base s’effectue de la même manière que pour les autres requêtes dans Log Analytics. Si vous ne connaissez pas ce processus, consultez Prise en main de Log Analytics d’Azure Monitor.
Dans le portail Azure, sélectionnez Surveiller>les tables>des journaux.
Dans la liste des tables, vous pouvez identifier les tables des journaux de base à l’aide de leur icône unique :
Vous pouvez également pointer sur un nom de table pour obtenir la vue d’informations de table, qui spécifie que la table est configurée comme des journaux de base :
Lorsque vous ajoutez une table à la requête, Log Analytics identifie une table Journaux de base et adapte l’expérience de création en conséquence. L’exemple suivant montre ce qui se passe si vous essayez d’utiliser un opérateur non pris en charge par les journaux de base.
Modèle de tarification
Le coût d’une requête sur les journaux d’activité basiques est basé sur la quantité de données analysées par la requête, qui est influencée par la taille de la table et l’intervalle de temps de la requête. Par exemple, une requête qui analyse trois jours de données dans une table qui ingère 100 Go par jour est facturée pour 300 Go.
Pour plus d’informations, consultez Tarification Azure Monitor.